共計 1724 個字符，預計需要花費 5 分鐘才能閱讀完成。

丸趣 TV 小編給大家分享一下在 Linux 中如何從潛藏密碼遷移至 tcb，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

潛藏密碼作為 Linux 產品的既定事實標準已經有好多年了，md5 密碼的運用亦是如此。但是，運用傳統的潛藏密碼要領也有不足之處，甚至 md5 也不像以前那么安全了。

潛藏密碼文件的一個缺點就是，任意一個須要查詢個別潛藏密碼 (如您的密碼) 的使用程序也可以看到其他人的潛藏密碼，這也就意味著任意一個可以讀取潛藏文件的惡意工具都能夠獲得別人的潛藏密碼。

除了潛藏，還有一個叫做 tcb 的可供選擇的辦法，它由 Openwall Project 編寫，可以從 tcb 主頁上獲取。遷移到 tcb 雖然須要做一些工作，但是相當直接。因為只有 Openwall GNU/*/Linux、ALT Linux、和 Annvix 直接支持 tcb。要為您選擇的流通產品獲得 tcb 支持，您必須重新編輯多個程序，打上補丁。

從 tcb 站點上，您可以下載 tcb 程序，并將它和有關的 pam_tcb 和 nss_tcb 庫一起執行 編輯。您還須要打上支持 crypt_blowfish 的 glibc 補丁(像 SUSE 一樣的有些產品可能已經可以支持 blowfish 密碼，就不須要再打補丁了)。

也許您還想為 shadow-utils 組打上補丁; 取決于您的產品所采用的 shadow-utils 的版本，您可以從 Openwall CVS 為 shadow-utils 4.0.4.1 或從 Annvix SVN 儲存庫為 4.0.12 獲得所需的補丁。像 adduser、chage 等這樣的工具中的 Shadow-utils 須要被打上補丁，提供 tcb 支持。在 tcb 頁面上有可以打 glibc 補丁的 ***crypt_blowfish 的鏈接。一旦這些先決條件都滿足了，且 tcb 編譯和安裝以后，只需基本地將 /etc/pam.d/* 文件中的所有調用都替換為 pam_unix.so 和 / 或 pam_pwdb.so 就行了。然后就可以像列表 A 中那樣運用 pam_tcb.so 了。

列表 Aauth

required

pam_env.soauthrequiredpam_tcb.so shadow fork nullok prefix=$2a$ count=8account

requiredpam_tcb.so shadow forkpassword

requiredpam_passwdqc.so min=disabled,12,8,6,5 max=40 passphrase=3 match=4 similar=deny random=42 enforce=everyone retry=3password

requiredpam_tcb.so use_authtok shadow write_to=tcb fork nullok prefix=$2a$ count=8session

requiredpam_limits.sosession

requiredpam_tcb.so

如果您希望繼續運用

md5 密碼，而不是 blowfish 密碼，將 prefix=$2a$ count= 8 一條從密碼行移除，同時，您還須要修改 /etc/nsswitch.conf，讓潛藏行改讀：

shadow: tcb nisplus nis

passwd 程序須要 sgid 潛藏，而不是 suid 根，并且 /etc/login.defs 中要包括 USE_TCB yes。這些完成以后，您就可以執行 /sbin/tcb_convert 程序，將潛藏文件轉換成為適當的單一用戶文件了，這些文件將儲存在 /etc/tcb/ 中。做完這些之后，移除 /etc/shadow 和 /etc/shadow- 文件，然后您的系統就可以運用 tcb 了。

獲得 tcb 支持可能須要花點功夫，但遺憾的是更多的產品沒有提供支持，它們既沒有本地支持也沒有通過插件來支持。運用 tcb，連同 blowfish 密碼一起，會為您的 Linux 產品提供一個安全得多的密碼系統。

以上是“在 Linux 中如何從潛藏密碼遷移至 tcb”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注丸趣 TV 行業資訊頻道！